Когда-то специфическую тему «Вирусы».
Это достаточно большая тема (очень большая) с кучей моментов и разделов с подразделами с подподразделами с (под*n)разделами. И среди этого дерева знаний и опыта существует одна тема (как я считаю ее надо называть) – «Прописка вируса в ОС для повторного или стопроцентного запуска».
Вирусу после его запуска (без разницы как он запустился, с флешки через autorun, или просто пользователь вручную его запустил) необходимо закрепится в системе, т.е. продолжать постоянно или через какой либо промежуток времени выполнять свои функции (отсылать логи клавиатуры, пароли, какие либо данные, или заниматься вандализмом: приводить систему в негодность).
Некоторые вирусы прописываются в реестре на автозагрузку (это не очень актуально сейчас, т.к. любой норм антивирус проверяет все прописанные там программы, да и пользователей много кто знает, где и как посмотреть (Win+R -> msconfig -> Автозагрузка или непосредственно через реестр)). Другие вирусы подменяют в реестре программу зарегистрированную на расширение файла, который часто используют (к прим. *.txt – часто notepad, сделать так чтобы запускался вирус, а потом вирус сам запускал блокнот с нужными параметрами (для скрытности)).
Тема, которую пишу как раз про этот метод – повторный запуск вируса или любой другой полезной программы. Однажды я заметил странное поведение батника, который я написал.
В то время, у меня были проблемы с интернетом и часто инет пропадал. Я решил написать скрипт, который пингует какой либо сайт(если неудачно, запускает себя заново) как только соединение восстанавливается (пинг пошел) он запускает музыку (и я узнаю что соединение есть) .
Приведу пример: Файл назову basd.bat и внутри него пропишу такую строчку:
(ping google.com && "ACDC Highway To Hell.mp3")||basd.bat
ACDC Highway To Hell.mp3 - музыка должна лежать либо прямо в папке (тогда записываете просто имя файла музыки с расширением, либо указываете полный путь к прим C:\Music\Acdc.mp3)
В тот раз я назвал файл ping.bat, запустил его и получил свое «странное поведение» - при его запуске он не сработал как я ожидал, а начал запускать свои копии и вообще не пинговал. Изучив этот момент и его поведение я понял, что скрипт не запускает программу ping.exe которая лежит в Windows\System32, а запускает сама себя. Я сразу понял, что это можно использовать неординарно. Решил раскрутить эту фичу в еще один способ повторного запуска вируса. Начал писать тестовый скрипт заражения. В конечном итоге я получил вот такой небольшой скрипт:
cd %HOMEPATH%
echo hack=msgbox("Crash and hacked",16)>crash.vbs
echo crash.vbs>ping.bat
echo crash.vbs>tasklist.bat
echo crash.vbs>taskkill.bat
echo crash.vbs>taskmgr.bat
echo crash.vbs>calc.bat
echo crash.vbs>notepad.bat
echo crash.vbs>notepad.exe.bat
Этот скрипт переходит в домашнюю папку пользователя и создает vbs скрипт, который выводит messagebox с надписью «Crash and hacked» Далее он создает .bat файлы, которые при их выполнении запускают его.
К чему я веду... Опытный пользователь, который умеет пользоваться командной строкой, часто при проблеме с интернетом запустит ее и сделает команду ping «имя сервера» для проверки подключения. Или запустить блокнот или калькулятор (если лень искать его через пуск или зажимать Win-R -> notepad). В обычном случае ping google.com в командной строке, запускает программу C:\Windows\System32\ping.exe с аргументом «google.com», и делает свои дела (гугли “ping”). Но после запуска скрипта, это не сработает. Выскочит messagebox с надписью. Сам скрипт ничего страшного не делает, а противоядие смотрите ниже (кому лень самому писать). Но вместо этого окошка может быть что-то серьезнее (вирус к примеру).
Размышления: Я практически всегда, под ОС Windows имею права администратора. И знаю по опыту, что многие люди сидят с такими же правами, будь то домашний компьютер или рабочий. И эти права дают огромное поле возможностей для действия. Если в vbs скрипте прописать не вызов messagebox –а, а скачивание вируса (или key logger, или все что угодно) и запуск его, простейшая команда ping превращается в проблему, с которой придется бороться и может пострадать система. Эта уязвимость может быть и вовсе не уязвимостью, ее также можно и в фишку превратить, все зависит от воображения.
Противоядие от скрипта приведенного выше:
cd %HOMEPATH%
del crash.vbs
del ping.bat
del tasklist.bat
del taskkill.bat
del taskmgr.bat
del calc.bat
del notepad.bat
del notepad.exe.bat
бля, ну в коем веке что-то, что можно считать достойным :)
Изучил момент - поделился :)
Чтобы написать коммент, необходимо залогиниться